这几天有一起韩国追星族可能会首当其冲的资安事故,那就是在韩国经营大型书店,以及演唱会售票平台的Yes24,惊传遭到勒索软体攻击而导致服务停摆,但受害情况、影响范围有待后续追踪。
对于其他的资安事故,Apache基金会重点专案Tomcat遭遇大规模攻击、窃资软体Myth Stealer相当值得留意,而M365 Copliot零点击漏洞、系微(Insyde)UEFI韧体H2O漏洞的揭露,也引起资安界的关注。
【攻击与威胁】
网页应用程式伺服器Apache Tomcat受到许多企业与云端平台采用,尤其适合小型应用及微服务架构,原因在于该此系统开源且占用资源少,广泛支援Java网页应用的特性。由于受到广泛采用,也有攻击者盯上这类伺服器的现象。
最近威胁情报业者GreyNoise揭露专门针对这种应用程式伺服器的大规模尝试入侵活动,他们在6月5日发现约有400个IP位址被用于暴力破解或尝试登入Tomcat的管理介面。这些IP位址主要来自主机代管业者DigitalOcean的基础设施,其中有298个IP位址用于尝试登入,250个IP位址用于暴力破解攻击。从GreyNoise公布的IP位址数量来看,显然有部分的IP位址同时用两种类型的活动。
为了改善软体开发安全,近年来有许多软体改以程式语言Rust开发,例如Google于Chrome采用新的字型渲染程式库Skrifa,就是以这种程式语言撰写而成。然而,攻击者也开始跟进,采用这种程式语言打造恶意程式。
例如,最近资安业者Trellix揭露的Myth Stealer,就是典型的例子。研究人员从去年12月下旬看到开发者于Telegram频道宣传、销售,初期提供免费试用,后来开发团队以租用的型式牟利。
研究人员持续进行追踪和调查后指出,骇客主要透过假的游戏网站散布Myth Stealer,一旦使用者下载、执行,此恶意软体会显示假的视窗,转移使用者的注意力,但实际上,骇客于后台透过XOR运算或AES演算法解开先前被加密的恶意程式码,并予以执行。
其他攻击与威胁
以色列资安业者Aim Security旗下的Aim Labs揭露位于Microsoft 365 (M365) Copilot的资安漏洞,允许骇客在无需使用者互动的情况下,窃取M365 Copilot的机密资讯。这是第一个针对AI代理程式的零点击攻击链,不仅威胁Copilot的资料安全,可能也会影响其它基于检索增强生成(Retrieval‑Augmented Generation,RAG)的聊天机器人与AI代理人,微软获报后已完成修补。
此漏洞被命名为EchoLeak,已取得CVE‑2025‑32711漏洞编号,其CVSS风险评分高达9.3。
EchoLeak主要涉及大型语言模型范围违规(LLM Scope Violation)问题,同时利用了RAG Copilot的设计缺陷,以让骇客可在不需仰赖使用者的行动下,自动汲取来自M365 Copilot的任何资料。
近年来不时有骇客针对UEFI开机系统下手,打造恶意程式发动攻击,从而绕过作业系统与端点防护机制的侦测,一旦UEFI韧体存在相关漏洞,就有可能成为骇客利用的对象,使得资安圈越来越关切、挖掘这类弱点。
本周有两项与UEFI有关的漏洞揭露,其中又以卡内基美隆大学电脑紧急回应团队协调中心(CERT/CC)揭露的CVE-2025-4275相当值得留意,此弱点出现在系微(Insyde)的UEFI韧体H2O,攻击者能透过不受保护的非挥发性随机存取记忆体(NVRAM)变数SecureFlashCertData,而能于电脑注入数位凭证,使得攻击者能绕过安全开机(Secure Boot)的防护机制。CVSS风险达到7.8分,Insyde也发布资安公告,推出新版韧体修补这项漏洞。
另一项能绕过安全开机的漏洞,是由资安业者Binarly找到的记忆体中断漏洞CVE-2025-3052,此漏洞同样影响Insyde H2O的UEFI韧体,起因是他们发现由微软提供第三方UEFI凭证签章的特定模组能触发漏洞,一旦攻击者成功利用,就有机会在电脑开机的过程执行未签署的程式码,绕过安全开机机制,风险值为6.7,微软获报后于本周发布的6月例行更新(Patch Tuesday)提供修补程式。
其他资安防御措施